Il 7 giugno la CISA – Cybersecurity & Infrastructure Security Agency – di concerto con NSA e FBI ha diffuso un alert riguardante l’aumento degli episodi in cui a partire dal 2020 gruppi di criminali informatici legati alla Repubblica Popolare Cinese (RPC) sfruttano le vulnerabilità note pubblicamente al fine di creare un’ampia rete di infrastrutture compromesse tra le organizzazioni sia del settore pubblico che del privato.
Come indicato nelle premesse del documento, questo si basa sui precedenti rapporti di NSA, CISA e FBI al fine di informare il Consiglio di coordinamento del governo statale, locale, tribale e territoriale (SLTTCC), le infrastrutture critiche, tra le quali la Base Industriale della Difesa (DIB), nonché organizzazioni del settore privato.
In particolare, è stato riscontrato che le intrusioni sfruttano vulnerabilità delle apparecchiature “SoHo” o dei NAS per poi avere un accesso quanto più capillare possibile alle reti dei soggetti bersaglio. Tra i più ricorrenti troviamo i server configurati in maniera errata, password troppo deboli, software privi di patch oppure l’assenza di metodi di blocco dei tentativi di phishing.
Gli autori, oltre a cambiare metodo di intrusione man mano che venivano diffusi pubblicamente i loro tentativi, sono noti per utilizzare un mix di strumenti open source e personalizzati per la ricognizione e la scansione delle vulnerabilità, nonché per oscurare e camuffare la loro attività, servendosi di server, precedentemente compromessi, dislocati in Cina – definiti hop point – utilizzati come punto di comunicazione di comando e controllo (C2).
Come riferito dalle agenzie statunitensi, i cybercriminali sono stati osservati ottenere le credenziali per gli account utente e amministratore, per poi eseguire comandi sul router allo scopo di instradare, acquisire ed esfiltrare di nascosto il traffico dalla rete, fino a tentare di cancellare i file di log per non lasciare traccia delle loro operazioni.
I target sono stati nella maggior parte dei casi infrastrutture che avevano dati sensibili, tecnologie emergenti, proprietà intellettuale o informazioni per l’identificazione personale.
